Schnellstart: Erstellen einer Azure-Zahlungs-HSM mithilfe einer ARM-Vorlage

Azure Payment HSM ist ein „BareMetal“-Dienst, der mit Thales payShield 10K-Hardwaresicherheitsmodulen (HSMs) für den Zahlungsverkehr bereitgestellt wird und kryptografische Schlüsselvorgänge für kritische Zahlungstransaktionen in Echtzeit in der Azure-Cloud ermöglicht. Azure Payment HSM wurde speziell entwickelt, um einen Dienstanbieter und ein einzelnes Finanzinstitut dabei zu unterstützen, die digitale Transformationsstrategie ihres Zahlungssystems zu beschleunigen und die öffentliche Cloud einzuführen. Weitere Informationen finden Sie unter Azure Payment HSM: Übersicht.

In dieser Schnellstartanleitung wird beschrieben, wie Sie ein Zahlungs-HSM mit dem Host- und Verwaltungsport in demselben virtuellen Netzwerk erstellen. Sie können stattdessen Folgendes tun:

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zu schreiben, mit denen die Bereitstellung erstellt wird.

Voraussetzungen

Von Bedeutung

Azure Payment HSM ist ein spezialisierter Dienst. Um sich für das Onboarding und die Verwendung von Azure Payment HSM zu qualifizieren, müssen Kunden über einen zugewiesenen Microsoft Account Manager und über einen Cloud Service Architect (CSA) verfügen.

Um sich nach dem Dienst zu erkundigen, den Qualifizierungsprozess zu starten und die Voraussetzungen vor dem Onboarding vorzubereiten, bitten Sie Ihre*n Microsoft-Kundenbetreuer*in und CSA, eine Anforderung per E-Mail zu senden.

Sie müssen die Ressourcenanbieter Microsoft.HardwareSecurityModules und Microsoft.Network, sowie die Funktionen von Azure Payment HSM registrieren. Die Schritte hierzu finden Sie unter Registrieren des Azure Payment HSM-Ressourcenanbieters und der Ressourcenanbieter-Features.

Warnung

Sie müssen das Featureflag FastPathEnabled auf jede Abonnement-ID anwenden und das Tag fastpathenabledjedem virtuellen Netzwerk hinzufügen. Weitere Informationen finden Sie unter Fastpathenabled.

Verwenden Sie den Azure CLI-Befehl az provider show, um schnell festzustellen, ob die Ressourcenanbieter und Features bereits registriert sind. (Die Ausgabe dieses Befehls ist besser lesbar, wenn Sie ihn im Tabellenformat anzeigen.)
```
az provider show --namespace "Microsoft.HardwareSecurityModules" -o table

az provider show --namespace "Microsoft.Network" -o table

az feature registration show -n "FastPathEnabled"  --provider-namespace "Microsoft.Network" -o table

az feature registration show -n "AzureDedicatedHsm"  --provider-namespace "Microsoft.HardwareSecurityModules" -o table
```
Sie können mit diesem Schnellstart fortfahren, wenn alle vier Befehle „Registriert“ zurückgeben.
Sie benötigen ein Azure-Abonnement. Sie können ein kostenloses Konto erstellen, falls Sie noch kein Konto besitzen.

Verwenden Sie die Bash-Umgebung in Azure Cloud Shell. Weitere Informationen finden Sie unter "Erste Schritte mit Azure Cloud Shell".
Wenn Sie CLI-Referenzbefehle lieber lokal ausführen möchten, installieren Sie die Azure CLI. Wenn Sie mit Windows oder macOS arbeiten, sollten Sie die Azure CLI in einem Docker-Container ausführen. Weitere Informationen finden Sie unter Ausführen der Azure CLI in einem Docker-Container.
- Wenn Sie eine lokale Installation verwenden, melden Sie sich mithilfe des Befehls az login bei der Azure CLI an. Um den Authentifizierungsprozess abzuschließen, führen Sie die schritte aus, die in Ihrem Terminal angezeigt werden. Weitere Anmeldeoptionen finden Sie unter Authentifizieren bei Azure mithilfe der Azure CLI.
- Wenn Sie dazu aufgefordert werden, installieren Sie die Azure CLI-Erweiterung bei der ersten Verwendung. Weitere Informationen zu Erweiterungen finden Sie unter Verwenden und Verwalten von Erweiterungen mit der Azure CLI.
- Führen Sie az version aus, um die installierte Version und die abhängigen Bibliotheken zu ermitteln. Führen Sie az upgrade aus, um auf die neueste Version zu aktualisieren.

Überprüfen der Vorlage

In dieser Schnellstartanleitung wird die Vorlage azuredeploy.json verwendet:

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "type": "String",
      "metadata": {
        "description": "Azure Payment HSM resource name"
      }
    },
    "stampId": {
      "type": "string",
      "defaultValue": "stamp1",
      "metadata": {
        "description": "stamp id"
      }
    },
    "location": {
      "type": "string",
      "defaultValue": "[resourceGroup().location]",
      "metadata": {
        "description": "Location for all resources."
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "payShield10K_LMK1_CPS60",
      "metadata": {
        "description": "PayShield SKU name. It must be one of the following: payShield10K_LMK1_CPS60, payShield10K_LMK1_CPS250, payShield10K_LMK1_CPS2500, payShield10K_LMK2_CPS60, payShield10K_LMK2_CPS250, payShield10K_LMK2_CPS2500"
      }
    },
    "vnetName": {
      "type": "string",
      "metadata": {
        "description": "Virtual network name"
      }
    },
    "vnetAddressPrefix": {
      "type": "string",
      "metadata": {
        "description": "Virtual network address prefix"
      }
    },
    "hsmSubnetName": {
      "type": "String",
      "metadata": {
        "description": "Subnet name"
      }
    },
    "hsmSubnetPrefix": {
      "type": "string",
      "metadata": {
        "description": "Subnet prefix"
      }
    }
  },
  "variables": {},
  "resources": [
   {
     "type": "Microsoft.HardwareSecurityModules/dedicatedHSMs",
     "apiVersion": "2021-11-30",
     "name": "[parameters('resourceName')]",
	   "location": "[parameters('location')]",
     "dependsOn": [
      "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
     ],
     "sku": {
       "name": "[parameters('skuName')]"
     },
     "properties": {
       "networkProfile": {
         "subnet": {
           "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
         }
        },
		"managementNetworkProfile": {
          "subnet": {
            "id": "[resourceId('Microsoft.Network/virtualNetworks/subnets', parameters('vnetName'), parameters('hsmSubnetName'))]"
          }
        },
        "stampId": "[parameters('stampId')]"
     }
   },
    {
      "type": "Microsoft.Network/virtualNetworks",
      "apiVersion": "2020-11-01",
      "name": "[parameters('vnetName')]",
      "location": "[parameters('location')]",
      "tags": {
        "fastpathenabled": "true"
      },
      "properties": {
        "addressSpace": {
          "addressPrefixes": [
            "[parameters('vnetAddressPrefix')]"
          ]
        },
        "subnets": [
          {
            "name": "[parameters('hsmSubnetName')]",
            "properties": {
              "addressPrefix": "[parameters('hsmSubnetPrefix')]",
              "delegations": [
                {
                  "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
                  "properties": {
                    "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
                  }
                }
              ],
              "privateEndpointNetworkPolicies": "Enabled",
              "privateLinkServiceNetworkPolicies": "Enabled"
            }
          }
        ],
        "enableDdosProtection": false
      }
    },
    {
      "type": "Microsoft.Network/virtualNetworks/subnets",
      "apiVersion": "2020-11-01",
      "name": "[concat(parameters('vnetName'), '/', parameters('hsmSubnetName'))]",
      "dependsOn": [
        "[resourceId('Microsoft.Network/virtualNetworks', parameters('vnetName'))]"
      ],
      "properties": {
        "addressPrefix": "[parameters('hsmSubnetPrefix')]",
        "delegations": [
          {
            "name": "Microsoft.HardwareSecurityModules.dedicatedHSMs",
            "properties": {
              "serviceName": "Microsoft.HardwareSecurityModules/dedicatedHSMs"
            }
          }
        ],
        "privateEndpointNetworkPolicies": "Enabled",
        "privateLinkServiceNetworkPolicies": "Enabled"
      }
    }
  ]
}

Die in der Vorlage definierte Azure-Ressource ist:

Microsoft.HardwareSecurityModules.dedicatedHSMs: Erstellen Sie eine Azure Payment HSM-Instanz.

Die entsprechende azuredeploy.parameters.json-Datei lautet:

{
  "$schema": "https://schema.management.azure.com/schemas/2015-01-01/deploymentParameters.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "resourceName": {
      "value": "myhsm1"
    },
    "stampId": {
      "value": "stamp1"
    },
    "skuName": {
      "value": "payShield10K_LMK1_CPS60"
    },
    "vnetName": {
      "value": "myHsmVnet"
    },
    "vnetAddressPrefix": {
      "value": "10.0.0.0/16"
    },
    "hsmSubnetName": {
      "value": "myHsmSubnet"
    },
    "hsmSubnetPrefix": {
      "value": "10.0.0.0/24"
    }
  }
}

In diesem Beispiel verwenden Sie die Azure CLI, um eine ARM-Vorlage bereitzustellen, um eine Azure Payment HSM-Instanz zu erstellen.

Speichern Sie zunächst die Dateien „azuredeploy.json“ und „azuredeploy.parameters.json“ lokal, um sie im nächsten Schritt zu verwenden. Den Inhalt dieser Dateien finden Sie im Abschnitt Überprüfen der Vorlage.

Hinweis

Bei den folgenden Schritten wird davon ausgegangen, dass sich die Dateien „azuredeploy.json“ und „azuredeploy.parameters.json“ in dem Verzeichnis befinden, in dem Sie die Befehle ausführen. Wenn sich die Dateien in einem anderen Verzeichnis befinden, müssen Sie die Dateipfade entsprechend anpassen.

Erstellen Sie als Nächstes eine Azure-Ressourcengruppe.

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Verwenden Sie den Befehl az group create, um eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus zu erstellen.

az group create --name "myResourceGroup" --location "EastUS"

Verwenden Sie abschließend den Azure CLI-Befehl az deployment group create, um Ihre ARM-Vorlage bereitzustellen.

az deployment group create --resource-group "MyResourceGroup" --name myPHSMDeployment --template-file "azuredeploy.json"

Wenn Sie dazu aufgefordert werden, geben Sie die folgenden Werte für die Parameter an:

resourceName: myPaymentHSM
vnetName: myVNet
vnetAddressPrefix: 10.0.0.0/16
hsmSubnetName: mySubnet
hsmSubnetPrefix: 10.0.0.0/24

In diesem Beispiel verwenden Sie azure PowerShell, um eine ARM-Vorlage zum Erstellen eines Azure-Zahlungs-HSM bereitzustellen.

Hinweis

Erstellen Sie als Nächstes eine Azure-Ressourcengruppe.

Eine Ressourcengruppe ist ein logischer Container, in dem Azure-Ressourcen bereitgestellt und verwaltet werden. Erstellen Sie mit dem Azure PowerShell-Cmdlet New-AzResourceGroup eine Ressourcengruppe mit dem Namen myResourceGroup am Standort eastus.

New-AzResourceGroup -Name "myResourceGroup" -Location "EastUS"

Legen Sie nun die folgenden Variablen für die Verwendung im Bereitstellungsschritt fest:

$deploymentName = "myPHSMDeployment"
$resourceGroupName = "myResourceGroup"
$templateFilePath = "azuredeploy.json" 
$templateParametersPath = "azuredeploy.parameters.json" 
$resourceName = "myPaymentHSM"
$vnetName = "myVNet" 
$vnetAddressPrefix = "10.0.0.0/16" 
$subnetName = "mySubnet" 
$subnetPrefix = "10.0.0.0/24"

Verwenden Sie abschließend das Azure PowerShell-Cmdlet New-AzResourceGroupDeployment, um Ihre ARM-Vorlage bereitzustellen.

New-AzResourceGroupDeployment -Name $deploymentName -ResourceGroupName $resourceGroupName -TemplateFile $templateFilePath -TemplateParameterFile $templateParametersPath -resourceName $resourceName -vnetName $vnetName -vnetAddressPrefix $vnetAddressPrefix -hsmSubnetName $subnetName -hsmSubnetPrefix $subnetPrefix

Validierung der Bereitstellung

Azure CLI
Azure PowerShell

Sie können überprüfen, ob das Zahlungs-HSM mit dem Azure CLI az dedicated-hsm list command erstellt wurde. Die Ausgabe ist einfacher zu lesen, wenn Sie die Ergebnisse als Tabelle formatieren:

az dedicated-hsm list -o table

Sie können überprüfen, ob das Zahlungs-HSM mit dem Azure PowerShell Get-AzDedicatedHsm-Cmdlet erstellt wurde.

Get-AzDedicatedHsm

Der Name Ihrer neu erstellten Zahlungs-HSM sollte angezeigt werden.

Bereinigen von Ressourcen

Azure CLI
Azure PowerShell

Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Wenn Sie planen, mit weiteren Schnellstartanleitungen und Tutorials fortzufahren, möchten Sie diese Ressourcen vielleicht an Ort und Stelle belassen.

Wenn Sie die Ressourcen nicht mehr benötigen, führen Sie den Azure CLI-Befehl az group delete aus, um die Ressourcengruppe und alle dazugehörigen Ressourcen zu löschen:

az group delete --name "myResourceGroup"

Andere Schnellstartanleitungen und Tutorials in dieser Sammlung bauen auf dieser Schnellstartanleitung auf. Falls Sie mit weiteren Schnellstartanleitungen und Tutorials fortfahren möchten, sollten Sie die Ressourcen an ihrem Platz lassen.

Wenn die Ressourcengruppe und alle zugehörigen Ressourcen nicht mehr benötigt werden, können Sie sie mit dem Azure PowerShell-Cmdlet Remove-AzResourceGroup entfernen.

Remove-AzResourceGroup -Name "myResourceGroup"

Nächste Schritte

In dieser Schnellstartanleitung haben Sie eine Azure Resource Manager-Vorlage zum Erstellen eines Zahlungs-HSM bereitgestellt, die Bereitstellung überprüft und das Zahlungs-HSM gelöscht. Weitere Informationen zu Azure Payment HSM und zur Integration in Ihre Anwendungen finden Sie in den folgenden Artikeln.

Verschaffen Sie sich eine Übersicht über Payment HSM.
Informieren Sie sich über die ersten Schritte mit Azure Payment HSM.
Sehen Sie sich einige allgemeine Bereitstellungsszenarien an.
Erhalten Sie Informationen zu Zertifizierung und Konformität.
Lesen Sie die häufig gestellten Fragen.

Feedback

War diese Seite hilfreich?

Last updated on 2025-10-10